匈牙利的安全實驗室CrySys近日發現一名為Duqu的病毒,復原該病毒的安裝程式後,發現該病毒是透過尚未被揭露的視窗核心漏洞進行感染。
各家資安業者早在10月底就警告Duqu病毒的存在,而且分析顯示Duqu與造成巨大災難的Stuxnet有許多雷同之處,特別是程式碼,不少資安業者斷言Duqu作者曾存取Stuxnet的原始碼,且將其稱之為Stuxnet二代。
不過,有別於Stuxnet是鎖定西門子的自動化生產與控制系統,Duqu並未含有任何與產業控制系統有關的程式,而是一只對少數企業的特定資產有興趣的遠端存取木馬程式。
資安業者Symantec指出,Duqu的媒介為一微軟的Word檔案,該檔案攻陷了一個尚未被揭露的視窗核心漏洞,因而允許程式碼的執行。在使用者開啟該Word檔後,惡意程式即會開始運作,繼之安裝主要的Duqu程式。
Duqu顯然是透過此一未被察覺的零時差漏洞進行攻擊,同時駭客可命令它散播到其他電腦上,例如Symantec便發現駭客命令Duqu藉由SMB分享功能散布到企業內的其他電腦上,而且,有鑑於某些被植入病毒的電腦未連上外部網路,無法被駭客操縱,Duqu配置這些未連網的電腦使用檔案分享的C&C協定連至其他可連網的被駭電腦,把這些連網電腦作為代理伺服器,供駭客存取這些位於安全區域內的電腦。
Symantec指出,迄今已證實Duqu感染了位於8個國家的6個組織,駭客的命令控制伺服器座落於印度與比利時,其中比利時的伺服器已在資安業者的要求下被關閉。
微軟已得知此事,正努力開發修補程式,但目前尚未有足夠健全的暫時性措施,Symantec建議使用者不要開啟來路不明的檔案,或是使用其他的軟體,不過目前多數的安全業者皆可偵測及封鎖主要的Duqu檔案。(編譯/陳曉莉)
熱門新聞
2024-05-12
2024-05-13
2024-05-13
2024-05-13
2024-05-13
